使用Spring Security验证用户凭据

Question

我有一个使用Spring Security LDAP进行用户身份验证的应用程序。 我要做的是构建一个功能，要求用户在执行重要流程之前再次提供密码以验证凭据。

用户已经登录，因此我不希望通过杀死他们当前的会话来解雇用户。

Answer 1

听起来这可能是一个难以填写的要求。我有一个可以满足要求的盒子外解决方案：

1. 创建一个姐妹Grails应用程序，该应用程序使用与主应用程序相同的Grails / Spring Security / LDAP结构。
2. 在姐妹应用程序中公开/ verifyLdapCredentials服务以接受用户的LDAP凭据
3. 针对LDAP进行身份验证
4. 将成功/失败响应发送回主应用程序
5. 立即从姐妹申请中取消身份验证以准备下一个请求

Answer 2

我最终创建了一个单独的服务和控制器来进行简单的LDAP身份验证和查找。 该服务将使用Spring配置设置登录，然后应用用户名和提供的密码并验证CN结果。